홈페이지 » 어떻게 » Linux ISO의 체크섬을 확인하고 변경되지 않았 음을 확인하는 방법

    Linux ISO의 체크섬을 확인하고 변경되지 않았 음을 확인하는 방법

    지난 달 리눅스 민트 (Linux Mint)의 웹 사이트가 해킹 당했고 백도어를 포함한 수정 된 ISO가 다운로드되었다. 이 문제는 신속하게 수정되었지만 실행하고 설치하기 전에 다운로드 한 Linux ISO 파일을 확인하는 것이 중요 함을 보여줍니다. 방법은 다음과 같습니다..

    Linux 배포판은 체크섬을 게시하므로 다운로드 한 파일이 자신이 주장하는 것임을 확인할 수 있으며, 종종 서명되어 있으므로 체크섬 자체가 변조되지 않았 음을 확인할 수 있습니다. 이것은 특히 타사 미러 또는 BItTorrent를 통해 메인 사이트 이외의 다른 곳에서 ISO를 다운로드하는 경우 유용합니다. 사람들이 파일을 손쉽게 변경하는 것이 훨씬 쉽습니다..

    이 프로세스의 작동 방식

    ISO 검사 과정은 조금 복잡하기 때문에 정확한 단계를 시작하기 전에 프로세스가 수행하는 작업을 정확히 설명해 보겠습니다.

    1. 평소와 같이 Linux 배포 웹 사이트 또는 다른 곳에서 Linux ISO 파일을 다운로드합니다..
    2. Linux 배포 웹 사이트에서 체크섬과 디지털 서명을 다운로드합니다. 두 개의 개별 TXT 파일 일 수도 있고 두 개의 데이터가 모두 포함 된 단일 TXT 파일을 가져올 수도 있습니다.
    3. Linux 배포판에 속한 공개 PGP 키를 받게됩니다. 리눅스 배포판의 웹 사이트 나 리눅스 배포본에 따라 같은 사람들이 관리하는 별도의 키 서버에서 얻을 수 있습니다..
    4. PGP 키를 사용하여 체크섬의 디지털 서명이 키를 만든 사람 (이 경우 Linux 배포자의 관리자)에 의해 생성되었는지 확인합니다. 이렇게하면 체크섬 자체가 변경되지 않았 음을 확인할 수 있습니다..
    5. 다운로드 한 ISO 파일의 체크섬을 생성하고 다운로드 한 체크섬 TXT 파일과 일치하는지 확인합니다. ISO 파일이 훼손되거나 손상되지 않았 음을 확인합니다..

    이 프로세스는 ISO마다 조금씩 다를 수 있지만 대개 일반적인 패턴을 따릅니다. 예를 들어 여러 가지 유형의 체크섬이 있습니다. 전통적으로 MD5 합계가 가장 많이 사용되었습니다. 그러나 SHA-256 합계는 현대 Linux 배포판에서 더 자주 사용됩니다. SHA-256은 이론적 공격에 대한 저항력이 강하기 때문입니다. 유사한 프로세스가 MD5 합계에 대해 작동하지만 여기서는 주로 SHA-256 합계를 논의합니다. 일부 리눅스 배포판은 SHA-1 합계를 제공 할 수도 있습니다..

    마찬가지로 일부 배포판에서는 PGP로 체크섬에 서명하지 않습니다. 1, 2, 5 단계 만 수행하면되지만 프로세스가 훨씬 취약 해집니다. 결국, 공격자가 ISO 파일을 다운로드 할 수 있으면 체크섬을 대체 할 수 있습니다.

    PGP 사용은 훨씬 안전하지만 절대적이지는 않습니다. 공격자는 공개 키를 자신의 것으로 바꿀 수 있지만 여전히 ISO가 합법적이라고 생각하도록 속일 수 있습니다. 그러나 공개 키가 다른 서버 (예 : Linux Mint의 경우)에서 호스팅되는 경우 이는 단 하나가 아닌 두 개의 서버를 해킹해야하기 때문에 가능성이 훨씬 적습니다. 공개 키가 ISO 및 체크섬과 동일한 서버에 저장되어있는 경우 일부 배포판의 경우와 마찬가지로 공개 키가 많은 보안을 제공하지는 않습니다.

    여전히 체크섬 파일의 PGP 서명을 확인한 다음 해당 체크섬을 사용하여 다운로드의 유효성을 검사하는 경우 최종 사용자가 Linux ISO를 다운로드하는 것이 합리적입니다. 귀찮게하지 않는 사람들보다 훨씬 안전합니다..

    Linux에서 체크섬을 확인하는 방법

    여기서는 Linux Mint를 예로 사용 하겠지만 Linux 배포 웹 사이트에서 검색 옵션을 찾아야 할 수 있습니다. Linux Mint의 경우 다운로드 미러에 ISO 다운로드와 함께 두 개의 파일이 제공됩니다. ISO를 다운로드 한 다음 "sha256sum.txt"및 "sha256sum.txt.gpg"파일을 컴퓨터에 다운로드하십시오. 파일을 마우스 오른쪽 버튼으로 클릭하고 "다른 이름으로 링크 저장"을 선택하여 다운로드하십시오..

    Linux 데스크탑에서 터미널 창을 열고 PGP 키를 다운로드하십시오. 이 경우, Linux Mint의 PGP 키는 우분투의 핵심 서버에서 호스팅되며, 다음 명령을 실행해야합니다.

    gpg --keyserver hkp : //keyserver.ubuntu.com --recv-keys 0FF405B2

    리눅스 배포판 웹 사이트에서 필요한 키를 가리킨다..

    이제 ISO, 체크섬 파일, 체크섬의 디지털 서명 파일 및 PGP 키 등 필요한 모든 것이 준비되었습니다. 다음으로 다운로드 한 폴더로 변경하십시오.

    cd ~ / 다운로드

    ... 다음 명령을 실행하여 체크섬 파일의 서명을 확인합니다.

    gpg --verify sha256sum.txt.gpg sha256sum.txt

    다운로드 한 sha256sum.txt 파일에 "올바른 서명"이 있다는 것을 GPG 명령을 통해 알 수 있다면 계속 진행할 수 있습니다. 아래 스크린 샷의 네 번째 줄에서 GPG는 이것이 Linux Mint의 제작자 인 Clement Lefebvre와 관련이 있다고 주장하는 "훌륭한 서명"이라고 알려줍니다.

    키가 "신뢰할 수있는 서명"으로 인증되지 않았는지 걱정하지 마십시오. PGP 암호화가 작동하는 방식이므로 신뢰할 수있는 사용자의 키를 가져 와서 신뢰할 수있는 웹을 설정하지 않았기 때문입니다. 이 오류는 매우 일반적입니다..

    마지막으로, Linux Mint 관리자가 체크섬을 생성 했으므로 다음 명령을 실행하여 다운로드 한 .iso 파일에서 체크섬을 생성하고 다운로드 한 체크섬 TXT 파일과 비교하십시오.

    sha256sum - sha256sum.txt 확인

    하나의 ISO 파일 만 다운로드 한 경우 "no such file or directory"메시지가 많이 표시되지만 체크섬과 일치하는 경우 다운로드 한 파일에 대해 "OK"메시지가 표시되어야합니다.

    .iso 파일에서 체크섬 명령을 직접 실행할 수도 있습니다. .iso 파일을 검사하여 체크섬을 뱉어냅니다. 그런 다음 눈으로 확인하여 올바른 체크섬과 일치하는지 확인할 수 있습니다..

    예를 들어, ISO 파일의 SHA-256 합계를 얻으려면 다음과 같이하십시오.

    sha256sum /path/to/file.iso

    또는 md5sum 값이 있고 파일의 md5sum을 가져와야하는 경우 :

    md5sum /path/to/file.iso

    결과가 체크섬 TXT 파일과 비교하여 일치하는지 확인하십시오.

    Windows에서 체크섬을 확인하는 방법

    Windows 컴퓨터에서 Linux ISO를 다운로드하는 경우 Windows에 필요한 소프트웨어가 내장되어 있지 않지만 체크섬을 확인할 수도 있습니다. 따라서 오픈 소스 Gpg4win 도구를 다운로드하여 설치해야합니다..

    리눅스 배포판의 서명 키 파일과 체크섬 파일을 찾으십시오. Fedora를 예제로 사용하겠습니다. Fedora의 웹 사이트는 체크섬 다운로드를 제공하며 https://getfedora.org/static/fedora.gpg에서 Fedora 서명 키를 다운로드 할 수 있음을 알려줍니다..

    이 파일을 다운로드 한 후에는 Gpg4win에 포함 된 Kleopatra 프로그램을 사용하여 서명 키를 설치해야합니다. Kleopatra를 실행하고 파일> 인증서 가져 오기를 클릭하십시오. 다운로드 한 .gpg 파일을 선택하십시오..

    이제 다운로드 한 체크섬 파일을 가져온 키 파일 중 하나와 서명했는지 확인할 수 있습니다. 이렇게하려면 파일> 파일 암호 해독 / 확인을 클릭합니다. 다운로드 한 체크섬 파일을 선택하십시오. "입력 파일은 분리 된 서명입니다."옵션의 선택을 취소하고 "해독 / 확인"을 클릭하십시오.

    Fedora 인증서가 실제로 합법적인지 확인하는 문제를 겪지 않았으므로 이런 식으로 오류 메시지를 보게됩니다. 그게 더 어려운 일입니다. 이것은 PGP가 작동하도록 설계된 방식입니다. 예를 들어 키를 직접 만나서 교환하고 신뢰 웹을 구성하십시오. 대부분의 사람들은 이런 식으로 사용하지 않습니다..

    그러나 세부 정보를보고 체크섬 파일을 가져온 키 중 하나를 사용하여 서명했는지 확인할 수 있습니다. 이것은 다운로드 한 ISO 파일을 확인하지 않고 그냥 신뢰하는 것보다 훨씬 낫습니다..

    이제 파일> 체크섬 파일 확인을 선택하고 체크섬 파일의 정보가 다운로드 한 .iso 파일과 일치하는지 확인해야합니다. 그러나 이것은 우리를 위해 작동하지 않았습니다. 아마도 Fedora의 체크섬 파일이 배치 된 방식 일 수 있습니다. Linux Mint의 sha256sum.txt 파일로이 작업을 시도했지만 작동했습니다..

    Linux 배포판에서이 방법이 작동하지 않는다면 해결 방법이 있습니다. 먼저 설정> Kleopatra 구성을 클릭하십시오. "Crypto Operations"를 선택하고 "File Operations"를 선택하고 "sha256sum"체크섬 프로그램을 사용하도록 Kleopatra를 설정하십시오.이 체크섬은이 특정 체크섬이 생성 된 것과 같습니다. MD5 체크섬이있는 경우 여기에서 목록에서 "md5sum"을 선택하십시오..

    이제 파일> 체크섬 파일 만들기를 클릭하고 다운로드 한 ISO 파일을 선택하십시오. Kleopatra는 다운로드 한 .iso 파일에서 체크섬을 생성하여 새 파일에 저장합니다..

    다운로드 한 체크섬 파일과 방금 생성 한 파일 모두를 메모장과 같은 텍스트 편집기에서 열 수 있습니다. 체크섬이 자신의 눈과 똑같은지 확인하십시오. 동일하면 다운로드 한 ISO 파일이 변경되지 않았 음을 확인했습니다..


    이러한 확인 방법은 원래 맬웨어로부터 보호하기위한 것이 아닙니다. 이 파일은 ISO 파일이 올바르게 다운로드되었고 다운로드 중에 손상되지 않았 음을 확인하기 위해 고안되었습니다. 따라서 걱정없이 구울 수 있습니다. 다운로드하는 PGP 키를 신뢰해야하기 때문에 완전히 완벽한 솔루션은 아닙니다. 그러나 ISO 파일을 사용하지 않고 ISO 파일을 사용하는 것보다 훨씬 더 많은 확신을 줄 수 있습니다.

    이미지 크레딧 : Flickr의 Eduardo Quagliato